Firewall
Angreifer können einem System massiv schaden. Sie spionieren Daten aus, führen Systemblockaden herbei oder installieren Schadprogramme. Daher ist es wichtig, auf einen umfangreichen Schutz zu achten. fail2ban setzt an dem Punkt an, dass Hacker oftmals nicht beim ersten Versuch erfolgreich sind, sondern mehrere Versuche benötigen beziehungsweise im Vorfeld verdächtige Aktionen ausführen. Werden diese Aktivitäten rechtzeitig erkannt, dann können die Verdächtigen gesperrt werden. Lesen Sie, welche Möglichkeiten sich Ihnen durch fail2ban ergeben und wie das Programm arbeitet.
Die Verdächtigen werden über ihre IP-Adresse identifiziert
fail2ban ist ein Programm, welches versucht, Angriffe auf das zu schützende System zu verhindern. Die Angreifer werden hierbei durch verdächtige Aktionen sowie über ihre IP-Adresse ermittelt und können nun blockiert werden. Hierfür nutzt fail2ban verschiedene Quellen, wie beispielsweise Log-Dateien. Hat ein Nutzer versucht, sich mehrfach mit einem falschen Passwort anzumelden, dann gerät er in den Verdacht, sich in das System einhacken zu wollen. Es wird stets ein bestimmter Zeitraum betrachtet, in welchem eine gewisse Anzahl an Fehlversuchen stattfinden muss. Neben der fehlerhaften Eingabe von Passwörter werden auch verschiedene andere vermeintlich harmlose beziehungsweise sinnlose Aktionen registriert und weitergeleitet. In der Regel gibt fail2ban die einmal blockierten IP-Adressen nach einem bestimmten Zeitraum wieder frei. Dadurch soll verhindert werden, dass seriöse Anfragen nicht fälschlicherweise abgestraft werden. Sollte die Angreifer-IP einem neuen Host dynamisch zugeteilt worden sein, dann würde ansonsten ein unbescholtener Nutzer ebenfalls keinen Zugriff mehr erhalten. Experten empfehlen eine Blockierzeit von wenigen Minuten. Zum einen werden Angriffsversuche soweit unterbrochen, dass die Hacker in ihrer Arbeit gestört werden. Zum anderen wird die Verbindung zu seriösen Anfragen nicht dauerhaft verhindert.
Das „jail“ sorgt für die Identifikation
Ein häufiges Problem ist es, dass Server nicht nur einem Angriff sondern einer Vielzahl von parallelen Bedrohungen ausgesetzt sind. fail2ban identifiziert hierbei jede einzelne IP-Adresse und wehrt somit die Angriffe Schritt-für-Schritt ab. Diese Vorgehensweise spiegelt sich bereits im Namen wieder: Sinngemäß übersetzt bedeutet „fail2ban“ „ein Fehlschlag führt zum Bann“. In der Standardkonfiguration sind Filter für sshd, vsftpd, Apache, Lighttpd, qmail, Courier Mail Server und Postfix enthalten. Sie werden durch reguläre Ausdrücke definiert und können vom Administrator angepasst werden. Der Begriff „jail“ bezeichnet in diesem Zusammenhang eine Kombination aus Filter und Aktion. Dadurch können bösartige Hosts blockiert werden. Lassen sich die Log-Daten mit regulären Ausdrücken auswerten, dann kann hierfür ein „jail“ erstellt werden.
Die Arbeitsweise von fail2ban
Fail2ban ist bereits seit rund 10 Jahren auf dem Markt erhältlich und lässt sich unkompliziert installieren. Werden die Logfiles vom Webserver beziehungsweise dem Betriebssystem erzeugt und auf der Server-Platte abgelegt, dann können diese von fail2ban genutzt werden. Die Filter analysieren die Daten nun und suchen nach bestimmten Mustern, welche auf bösartige Absichten schließen lassen. Unerlaubte Zugriffsversuchen sollen dadurch identifiziert werden und die entsprechenden IP-Adressen können gesperrt werden. Viele Webseiten sind heutzutage mit WordPress erstellt. Ein bekanntes Plugin hierfür ist „Antispam Bee“. Hierfür wurde bereits ein jail erstellt, das Spam-Attacken auf der Server-Ebene blockiert. Dadurch werden die Datenbank und der Webserver entlastet.
Die Filter von fail2ban – das Herzstück des Programms
Fail2ban ist bereits mit einer Vielzahl an vorgefertigten Filtern ausgestattet. Die gewünschten Bereiche werden nach der Aktivierung überwacht. Verdächtige Aktivitäten sind hierbei unter anderem:
– mehrfache IMAP-Logins
– wiederholte Skript-Ausführungen
– Brute-Force-Attacken per SSH
– gezielte Suchanfragen nach Dateien mit bekannten Sicherheitslücken
Das Herzstück von fail2ban sind die Erkennungsfilter. Sie entscheiden, welche Aktionen zu einer Verbannung führen und welche nicht. Durch eine Festlegung geeigneter Regeln können somit viele weitere potentielle Angriffe abgewehrt werden. Das Kunststück ist es, Muster in den Dateien zu erkennen und richtig zu bewerten.
Ein Beispiel für ein „jail“
Ein Jail besteht aus einer Gruppe von verschiedenen Parametern. Diese legen die Regel fest, nach welchen IP-Adressen gesperrt werden:
enabled: Ist die Regel aktiv oder inaktiv? Dieser Parameter kann die Ausprägungen „true“ und „false“ annehmen.
filter: Filter-Name
port: Port, wie beispielsweise ssh oder http
logpath: Logdateien, die für die Überwachung verwendet werden
findtime: Zeitraum, welcher berücksichtigt wird (die Angabe erfolgt in Sekunden)
maxretry: Anzahl der Treffer in der definierten findtime
bantime: Zeitraum für den die IP blockiert wird (die Angabe erfolgt in Sekunden)
Wird für die bantime der Wert -1 gewählt, dann erfolgt eine dauerhafte Blockierung.
Ein Beispielaufbau für ein „Jail“.
[X]
enabled = true
filter = X
port = https, http
logpath = Y
maxretry = 1
findtime = 40.000
bantime = 3.600
Für X wird in der Praxis der Filtername eingesetzt, Y steht für den Pfad zu den Logdateien. Sobald mindestens ein Treffer (siehe maxrety = 1) registriert wurde, findet eine Bannung statt. Die Banndauer beträgt eine Stunde ( = 3.600 Sekunden).
Die manuelle Sperrung von IP-Adressen
Fail2ban ermöglicht es Ihnen, bestimmte IP-Adressen zu sperren. Hierfür legen Sie eine Blacklist an, in welche Sie die betreffenden Daten eintragen. Dadurch können Sie bekannte Adressen dauerhaft sperren und die Sicherheit noch einmal erhöhen. fail2ban bietet Ihnen somit umfangreiche Möglichkeiten, Angriffe auf das System zu unterbinden. Die automatische Vorgehensweise erfordert allerdings mindestens eine Aktion von potentiellen Angreifern. Dieser Angriff muss erfolglos bleiben, damit das Abwehrprogramm aktiv werden kann. Zusätzlich können Sie einzelne IP-Adressen sperren und somit bekannte Hacker verbannen.
